O Sistema de Nomes de Domínio (DNS) traduz nomes de domínio legíveis por humanos, como google.com, em endereços IP legíveis por máquina de um site, como 172.217.3.206. Para evitar ameaças ao seu domínio, como ataques de envenenamento de cache e spoofing de DNS, configure as extensões de segurança DNS (DNSSEC).
Ativar as DNSSEC para seu domínio
Importante:
- Alguns domínios de nível superior (TLDs) aceitam registros de chave pública do DNS (DNSKEY, na sigla em inglês) em vez de registros de Delegation Signer (DS).
- Se você adquiriu seu nome de domínio no Google Domains, talvez as DNSSEC já estejam configuradas.
- Se seu domínio tiver um registro ALIAS, não será possível ativar o DNSSEC. Saiba mais sobre os registros ALIAS.
Para configurar as DNSSEC para seu domínio, adicione registro de recursos específicos ao DNS ou à zona de assinatura e publique-os no domínio. Se você usa a configuração automática de DNSSEC do Google Domains, nós processamos as duas etapas. Pode levar até 24 horas para que as mudanças sejam atualizadas na Internet antes que as DNSSEC estejam ativas.
- Faça login no Google Domains.
- Selecione seu domínio.
- No canto superior esquerdo, selecione Menu DNS.
- Selecione Servidores de nomes padrão ou Servidores de nomes personalizados.
- Role até o card ou a caixa "DNSSEC".
- Para servidores de nomes padrão: clique em Ativar. Caso as DNSSEC estejam ativadas, a mensagem "DNSSEC ativadas" vai ser exibida.
- Para servidores de nomes personalizados: clique em Gerenciar registros DS e digite as informações do seu provedor de DNS.
- Insira os valores fornecidos pelo provedor de DNS terceirizado para as DNSSEC ou DNSKEYs do servidor de nomes personalizado.
- Para incluir vários registros ao mesmo tempo, clique em Criar novo registro.
- Clique em Save.
Dicas:
- Se você não quiser esperar a publicação dos registros DNSKEY, em "DNSSEC", expanda o card de DNSSEC e clique em Publicar registros agora.
- Quando você ativa as DNSSEC, o Google Domains assina automaticamente a zona de DNS e publica os registros Delegation Signer (DS, na sigla em inglês) em até duas horas.
Se você usa servidores de nomes personalizados, então precisa trabalhar com seu provedor de DNS terceirizado para assinar a zona de DNS do seu domínio. Para cada DNSKEY, receba os valores a seguir do seu provedor de DNS:
- Tag da chave: valor numérico que se refere a um registro DNSKEY existente.
- Algoritmo: algoritmo de criptografia que criou a chave de segurança no registro DNSKEY. Geralmente, ele é pareado com uma função de hash, como RSA/SHA1.
- Tipo de resumo: algoritmo que cria o resumo de um registro DNSKEY. Também chamado de "algoritmo de resumo", "hash de resumo" ou "função de hash de resumo".
- Resumo: valor de hash do registro DNSKEY que o identifica exclusivamente e não expõe o valor da chave. Com base no tipo de resumo, é possível que o comprimento seja um destes:
- SHA1: 40 dígitos hexadecimais
- SHA256: 64 dígitos hexadecimais
- SHA384: 96 dígitos hexadecimais
Se você usa servidores de nomes personalizados, entre em contato com seu provedor de DNS terceirizado para fazer login nas zonas de DNS do seu domínio. Para cada DNSKEY, receba os valores a seguir do seu provedor de DNS:
- Sinalização: informações que ajudam o DNS e os resolvedores a interpretar o registro DNSKEY. Por padrão, esse valor é definido como 256 ou 257.
- Protocolo: indica a versão das DNSSEC usadas. Esse valor é sempre definido como 3.
- Algoritmo: indica o tipo de algoritmo criptográfico usado para o par de chaves públicas ou privadas.
- Chave pública: chave que os resolvedores de DNS usam para validar os registros DNS que não foram alterados.
Desativar as DNSSEC para seu domínio
- Faça login no Google Domains.
- Selecione seu domínio.
- Selecione Menu DNS.
- Role até o card ou a caixa "DNSSEC".
- Para servidores de nomes padrão: selecione Desativar.
- Para servidores de nomes personalizados: ao lado de cada registro, clique em Delete (Excluir) .
- Selecione Salvar.
Dicas:
- Para servidores de nomes personalizados, trabalhe com seu provedor de DNS para remover os registros de recurso relacionados às DNSSEC da sua zona.
- Quando você desativa as DNSSEC, o Google Domains cancela imediatamente a publicação dos registros DS do seu domínio. Depois que essa alteração é feita na Internet, seu domínio não é mais protegido pelas DNSSEC. Isso pode levar até 48 horas. Para concluir a desativação das DNSSEC, o Google Domains pode cancelar a assinatura da zona de DNS.
Usar DNS dinâmico
Importante: o DNS dinâmico funciona com endereços IPv4 e IPv6, mas não ao mesmo tempo.
Com o DNS dinâmico, você direciona seu domínio ou subdomínio para um recurso protegido por um gateway com um endereço IP dinâmico atribuído. Para usar o DNS dinâmico, use os servidores de nomes padrão do Google Domains.
Se você configurar o DNS dinâmico com o Google Domains, será possível:
- Crie um registro A ou AAAA para seu domínio ou subdomínio para que os servidores de nomes do Google esperem um IP dinâmico.
- Gere um nome de usuário e uma senha que seu host ou servidor possa usar para comunicar o novo endereço IP aos servidores de nome do Google.
Depois de configurar o DNS dinâmico, será necessário configurar um programa de cliente no seu host, servidor ou gateway que faça o seguinte:
- detecta alterações no endereço IP;
- usa o nome de usuário e a senha gerados;
- comunica o novo endereço aos servidores de nome do Google.
Configurar o DNS dinâmico
- No computador, faça login no Google Domains.
- Selecione seu domínio.
- Clique em Menu DNS.
- Selecione Servidores de nomes padrão do Google Domains (ativo).
- Se a opção "Servidores de nomes personalizados (ativo)" estiver selecionada, você já tem servidores de nomes personalizados e não pode usar o serviço de DNS dinâmico do Google Domains.
- Clique em Mostrar configurações avançadas.
- Clique em Gerenciar DNS dinâmico Criar novo registro.
- Para atribuir um IP dinâmico, digite o nome do subdomínio ou do domínio raiz.
- Clique em Save.
Veja a seguir outras opções para gerenciar seu DNS dinâmico:
- Para visualizar os valores do registro: ao lado do registro, clique no triângulo.
- Para visualizar o nome de usuário e a senha criados para um registro: clique em Ver credenciais.
- Para configurar o gateway ou o software de cliente de modo que ele entre em contato com os servidores de nomes do Google: use o nome de usuário e a senha criados para o registro.
- Para excluir um registro:
- Acesse "Registros de recurso".
- Ao lado de "DNS dinâmico", clique no triângulo.
- Selecione Excluir.
Configure um programa de cliente no seu gateway, host ou servidor
Há vários clientes com DNS dinâmicos em uso, como o DDclient e o INADYN. A maioria dos roteadores pode detectar mudanças de IP e se comunicar com os servidores de nomes com o software integrado.
Configure o cliente DNS dinâmico com as informações a seguir:
- Provedor ou DNS ou Serviço: o nome do seu provedor de DNS
- Nome de usuário ou credencial: o nome de usuário gerado no registro de DNS dinâmico
- Senha ou credencial: a senha gerada no registro do DNS dinâmico
Teste o registro depois de criá-lo e configurar o software cliente. Insira o subdomínio e o domínio em um navegador ou cliente apropriado e confirme se eles se conectam ao recurso correto.
Dica: o Google Domains usa o protocolo dyndns2.
Exemplos
Agora o DDclient oferece suporte ao Google Domains.
DDclient com suporte do Google Domains |
Entradas de ddclient.conf:
|
Exemplos de configurações gerais de cliente:
DDclient sem suporte ao Google Domains |
INADYN |
Entradas de amostra de ddclient.conf:
|
Adicione os seguintes itens ao inadyn.conf
|
Atualizar o registro DNS dinâmico com a API
domains.google.com/nic/update
https://username:password@domains.google.com/nic/update?hostname=subdomain.yourdomain.com&myip=1.2.3.4
Definir um user agent
Importante: você também precisa definir um user agent na solicitação.
Durante um teste com o URL diretamente acima, domains.google.com/nic/update
, os navegadores da Web geralmente adicionam um user agent para você. A consulta HTTP final enviada aos nossos servidores precisa ser semelhante a esta:
Exemplo de consulta HTTP:
POST /nic/update?hostname=subdomain.yourdomain.com&myip=1.2.3.4 HTTP/1.1
Host: domains.google.com
Authorization: Basic base64-encoded-auth-string
User-Agent: Chrome/41.0 your_email@yourdomain.com
Parâmetros de solicitação:
Parâmetro | Obrigatório ou opcional | Descrição |
username:password |
Obrigatório | O nome de usuário e a senha gerados associados ao host que será atualizado. |
hostname |
Obrigatório | O nome do host que será atualizado. |
myip |
|
O endereço IP em que o host está alocado. Se não for informado, usaremos o IP do agente que enviou a solicitação.
Importante: se o agente usar um endereço IPv6, |
off-line |
Opcional | Define o status off-line para o host atual. Se uma solicitação de atualização for executada em um host off-line, o host será removido do estado off-line. Os valores permitidos são:
|
Depois que a solicitação for processada, você receberá uma das respostas a seguir.
Importante: interprete a resposta corretamente. Caso contrário, há o risco do seu cliente ser bloqueado em nosso sistema.
Resposta | Status | Descrição |
good {user’s IP address} |
Concluído | A atualização foi concluída com sucesso. Não tente outra atualização até seu endereço IP ser alterado. |
nochg {user’s IP address} |
Concluído | O endereço IP informado já foi definido para este host. Não tente outra atualização até seu endereço IP ser alterado. |
nohost |
Erro | O nome do host não existe ou não tem DNS dinâmico ativado. |
badauth |
Erro | A combinação de nome de usuário/senha não é válida para o host especificado. |
notfqdn |
Erro | O nome do host fornecido não é um nome de domínio totalmente qualificado. |
badagent |
Erro | Seu cliente de DNS dinâmico está enviando solicitações incorretas. Verifique se o user agent foi definido na solicitação. |
abuse |
Erro | O acesso do DNS dinâmico para o nome do host foi bloqueado devido à interpretação incorreta das respostas anteriores. |
911 |
Erro | Houve um erro no nosso sistema. Aguarde cinco minutos e tente novamente. |
conflict A |
Erro | Um registro de recurso A ou AAAA personalizado está em conflito com a atualização. Exclua o registro de recurso indicado na página de configurações do DNS e tente atualizar novamente. |